發現多個嚴重漏洞後,業界領先 blockchain 安全公司 Verichains 已推薦使用 Tendermint 的 IAVL 證明驗證的項目採取措施保護其資產並降低被利用的可能性。
Verichains 提供了公共諮詢, VSA-2022-100,根據 8 月 XNUMX 日與 Finbold 共享的信息,關於 Tendermint Core 的 IAVL 證明中的一個重要的 Empty Merkle Tree 漏洞,這是一個著名的 BFT 共識引擎。
去年 XNUMX 月,Verichains 在處理 BNB 鏈橋漏洞後的工作時發現了這一發現。 安全專家發現了嚴重的 IAVL 欺騙攻擊 BNB鏈 和薄荷糖。 他們發現了許多漏洞,這使他們得出結論,攻擊可能導致了資金的重大損失。 由於先前存在的工作夥伴關係,BNB Chain 在 XNUMX 月份獲悉了這些結果,並立即部署了修復程序。
突然間,Tendermint/Cosmos 的維護者被私下告知了這些缺陷,並且他們得到了認可。 然而,Tendermint 庫沒有得到修復,因為 IBC 和 Cosmos-SDK 實現已經從 IAVL Merkle 證明驗證切換到 ICS-23。 目前,有幾個項目處於危險之中。 這些項目包括 宇宙, 幣安智能鏈, OKX, 和 卡瓦.
BNB Chain 獲悉調查結果
第二個公共諮詢,指定為 VSA-2022-101,也已由 Verichains 發布,從零到欺騙——通過多個漏洞進行嚴重的 IAVL 欺騙攻擊。
這是作為其負責任的漏洞披露計劃的一部分完成的。 Cosmos Hub 和所有其他基於 Tendermint 構建的區塊鏈均由稱為 Tendermint Core 的共識引擎提供支持。
根據 Verichains 的負責任的漏洞披露政策,該公司等了 120 天才公開漏洞。 由於漏洞的嚴重性,可能會有更多的橋樑被黑客攻擊,從而導致額外的付款損失,金額可能達到數億美元,甚至數十億美元。
因此,Verichains 建議任何依賴 Tendermint 的 IAVL 證明驗證的易受攻擊的 Web3 項目立即實施安全升級。
一旦發現,Verichains 團隊會立即通過公司網站向公眾披露其發現的漏洞和安全漏洞。
來源:https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/